3 روشی که مهاجمان از امنیت ابری عبور می کنند

کلاه سیاه اروپا 2022 – لندن – CoinStomp. سگ نگهبان. دنونیا.

این کمپین‌های حملات سایبری یکی از پرکارترین تهدیدات امروزی هستند که سیستم‌های ابری را هدف قرار می‌دهند - و توانایی آنها برای فرار از شناسایی باید به عنوان یک داستان هشداردهنده از تهدیدات احتمالی آینده باشد، یک محقق امنیتی امروز در اینجا توضیح داد.

کمپین‌های بدافزار متمرکز بر ابر اخیر نشان داده‌اند که گروه‌های متخاصم از فناوری‌های ابری و مکانیسم‌های امنیتی آن‌ها دانش نزدیکی دارند. و نه تنها این، بلکه آنها از آن به نفع خود استفاده می کنند.

در حالی که سه کمپین حمله در این مرحله تماماً در مورد رمزنگاری هستند، برخی از تکنیک‌های آنها می‌تواند برای اهداف پلیدتری استفاده شود. و در بیشتر موارد، این حملات و سایر حملاتی که تیم Muir دیده است، از تنظیمات ابری با پیکربندی نادرست و سایر اشتباهات سوء استفاده می کنند. به گفته مویر، این بیشتر به معنای دفاع از آنها در کمپ مشتریان ابری است.

مویر به Dark Reading می‌گوید: «در واقع برای این نوع حملات، بیشتر به کاربر مربوط می‌شود تا ارائه‌دهنده خدمات [ابر]. آنها بسیار فرصت طلب هستند. او گفت که اکثر حملاتی که می بینیم بیشتر مربوط به اشتباهات مشتریان ابری است.

او گفت که شاید جالب ترین پیشرفت در این حملات این باشد که آنها اکنون محاسبات و کانتینرهای بدون سرور را هدف قرار می دهند. او در ارائه خود گفت: «سهولت در به خطر افتادن منابع ابری، ابر را به یک هدف آسان تبدیل کرده است.تکنیک های فرار از تشخیص دنیای واقعی در ابر"

DoH، این یک Cryptominer است

بدافزار Denonia محیط های بدون سرور AWS Lambda در فضای ابری را هدف قرار می دهد. مویر گفت: "ما معتقدیم که این اولین نمونه بدافزار افشا شده عمومی است که محیط های بدون سرور را هدف قرار می دهد." در حالی که این کمپین به خودی خود در مورد رمزنگاری است، مهاجمان از برخی روش‌های فرمان و کنترل پیشرفته استفاده می‌کنند که نشان می‌دهد در فناوری ابری به خوبی مطالعه شده‌اند.

مهاجمان Denonia از پروتکلی استفاده می‌کنند که DNS را روی HTTPS (معروف به DoH) پیاده‌سازی می‌کند، که درخواست‌های DNS را از طریق HTTPS به سرورهای حل‌کننده مبتنی بر DoH ارسال می‌کند. این به مهاجمان راهی می دهد تا در ترافیک رمزگذاری شده پنهان شوند به طوری که AWS نتواند جستجوهای DNS مخرب آنها را مشاهده کند. مویر گفت: "این اولین بدافزاری نیست که از DoH استفاده می کند، اما مطمئناً یک اتفاق رایج نیست." او گفت: "این از بدافزار برای ایجاد هشدار" با AWS جلوگیری می کند.

همچنین به نظر می رسد که مهاجمان انحرافات بیشتری را برای منحرف کردن یا سردرگم کردن تحلیلگران امنیتی، هزاران خط از رشته های درخواست عامل کاربر HTTPS پرتاب کرده اند.

"در ابتدا ما فکر می کردیم که ممکن است یک بات نت یا DDoS باشد ... اما در تجزیه و تحلیل ما در واقع توسط بدافزار استفاده نمی شد" و در عوض راهی برای پاک کردن باینری برای فرار از ابزارهای تشخیص و پاسخ نقطه پایانی (EDR) و تجزیه و تحلیل بدافزار بود. ، او گفت.

Cryptojacking بیشتر با CoinStomp و Watchdog

CoinStomp یک بدافزار بومی ابری است که ارائه‌دهندگان امنیت ابری در آسیا را برای مقاصد cryptojack هدف قرار می‌دهد. اصلی آن طرز عمل دستکاری مهر زمانی به عنوان یک تکنیک ضد پزشکی قانونی و همچنین حذف سیاست های رمزنگاری سیستم است. همچنین از خانواده C2 ​​مبتنی بر پوسته معکوس dev/tcp برای ترکیب با محیط‌های یونیکس سیستم‌های ابری استفاده می‌کند.

سگ نگهبانمویر خاطرنشان کرد، در همین حال، از سال 2019 وجود داشته است و یکی از برجسته‌ترین گروه‌های تهدید متمرکز بر ابر است. "آنها در بهره برداری از پیکربندی نادرست ابر، [تشخیص آن اشتباهات] با اسکن انبوه، فرصت طلب هستند."

مهاجمان همچنین برای فرار از شناسایی، به پنهان‌نگاری قدیمی متکی هستند و بدافزار خود را پشت فایل‌های تصویری پنهان می‌کنند.

مویر نتیجه گرفت: «ما در تحقیقات بدافزار ابری در نقطه جالبی قرار داریم. کمپین ها هنوز تا حدودی از نظر فنی کمبود دارند، که خبر خوبی برای مدافعان است.

اما چیزهای بیشتری در راه است. به گفته مویر، «بازیگران تهدید پیچیده‌تر می‌شوند» و احتمالاً از رمزنگاری به حملات مخرب‌تر حرکت خواهند کرد.